Nhóm Tin Tặc Triều Tiên Lợi Dụng Công Việc IT Tự Do
Các nhóm tin tặc Triều Tiên đang lợi dụng sự hấp dẫn của công việc IT tự do để truy cập vào các hệ thống đám mây và đánh cắp hàng triệu đô la tiền điện tử, theo nghiên cứu từ Google Cloud và công ty bảo mật Wiz. Báo cáo H2 2025 Cloud Threat Horizons của Google Cloud cho biết Nhóm Tình báo Đe dọa Google đang “theo dõi tích cực” UNC4899, một đơn vị tin tặc Triều Tiên đã thành công trong việc xâm nhập vào hai công ty sau khi liên hệ với nhân viên qua mạng xã hội.
Chiến Thuật Xâm Nhập của UNC4899
Trong cả hai trường hợp, UNC4899 đã giao cho các nhân viên những nhiệm vụ dẫn đến việc họ tải xuống phần mềm độc hại trên máy trạm của mình, cho phép nhóm tin tặc thiết lập kết nối giữa các trung tâm chỉ huy và kiểm soát của mình với các hệ thống đám mây của các công ty mục tiêu. Kết quả là, UNC4899 đã có thể khám phá các môi trường đám mây của các nạn nhân, thu thập tài liệu xác thực và cuối cùng xác định các máy chủ chịu trách nhiệm xử lý các giao dịch tiền điện tử.
Mặc dù mỗi sự cố riêng biệt nhắm đến các công ty khác nhau (không được nêu tên) và các dịch vụ đám mây khác nhau (Google Cloud và AWS), cả hai đều dẫn đến việc đánh cắp “vài triệu đô la tiền điện tử”.
Phương Pháp Liên Lạc và Tinh Vi của Tin Tặc
Jamie Collier, Cố vấn Tình báo Đe dọa Chính của châu Âu tại Nhóm Tình báo Đe dọa Google, cho biết với Decrypt: “Họ thường giả làm nhà tuyển dụng, nhà báo, chuyên gia trong lĩnh vực hoặc giáo sư đại học khi liên hệ với các mục tiêu,” ông nói, thêm rằng họ thường giao tiếp qua lại nhiều lần để xây dựng mối quan hệ với các mục tiêu.
Collier giải thích rằng các tác nhân đe dọa Triều Tiên là một trong những người đầu tiên nhanh chóng áp dụng các công nghệ mới như AI, mà họ sử dụng để tạo ra “các email xây dựng mối quan hệ thuyết phục hơn” và để viết các kịch bản độc hại của mình.
Hoạt Động của TraderTraitor và Các Nhóm Liên Quan
Công ty bảo mật đám mây Wiz cũng báo cáo về các hành động của UNC4899, lưu ý rằng nhóm này còn được gọi bằng các tên TraderTraitor, Jade Sleet và Slow Pisces. TraderTraitor đại diện cho một loại hoạt động đe dọa nhất định chứ không phải một nhóm cụ thể, với các thực thể được Triều Tiên hỗ trợ như Lazarus Group, APT38, BlueNoroff và Stardust Chollima đều đứng sau các hành động điển hình của TraderTraitor, theo Wiz.
Trong phân tích của mình về UNC4899/TraderTraitor, Wiz lưu ý rằng các chiến dịch bắt đầu từ năm 2020 và từ đầu, các nhóm tin tặc chịu trách nhiệm đã sử dụng các lời mời làm việc để dụ dỗ nhân viên tải xuống các ứng dụng tiền điện tử độc hại được xây dựng trên JavaScript và Node.js sử dụng framework Electron.
Những Vụ Hack Nổi Bật và Tác Động
Chiến dịch của nhóm từ năm 2020 đến 2022 “đã xâm nhập thành công vào nhiều tổ chức”, theo Wiz, bao gồm vụ xâm nhập trị giá 620 triệu đô la của Lazarus Group vào Mạng Ronin của Axie Infinity. Hoạt động đe dọa TraderTraitor sau đó đã phát triển vào năm 2023 để kết hợp việc sử dụng mã nguồn mở độc hại, trong khi vào năm 2024, nó đã tăng cường các lời mời làm việc giả, chủ yếu nhắm vào các sàn giao dịch.
Đáng chú ý nhất, các nhóm TraderTraitor đã chịu trách nhiệm cho vụ hack trị giá 305 triệu đô la của DMM Bitcoin tại Nhật Bản, và cũng là vụ hack 1,5 tỷ đô la của Bybit vào cuối năm 2024, mà sàn giao dịch đã công bố vào tháng 2 năm nay.
Đầu Tư và Tương Lai của Tin Tặc Triều Tiên
Giống như các hành động được Google nêu bật, những vụ hack này đã nhắm vào các hệ thống đám mây ở các mức độ khác nhau, và theo Wiz, các hệ thống như vậy đại diện cho một lỗ hổng đáng kể cho tiền điện tử. “Chúng tôi tin rằng TraderTraitor đã tập trung vào các hành động và kỹ thuật liên quan đến đám mây vì đó là nơi dữ liệu, và do đó là tiền, nằm,” Benjamin Read, Giám đốc Tình báo Đe dọa Chiến lược của Wiz, cho biết với Decrypt.
“Điều này đặc biệt đúng với ngành công nghiệp tiền điện tử, nơi các công ty mới hơn và có khả năng đã xây dựng cơ sở hạ tầng của họ theo cách ưu tiên đám mây.” Read giải thích rằng việc nhắm vào các công nghệ đám mây cho phép các nhóm tin tặc tác động đến một loạt các mục tiêu, tăng khả năng kiếm được nhiều tiền hơn.
Những nhóm này đang làm ăn lớn, với “ước tính 1,6 tỷ đô la tiền điện tử đã bị đánh cắp cho đến nay trong năm 2025,” ông nói, thêm rằng TraderTraitor và các nhóm liên quan có lực lượng lao động “có thể lên đến hàng nghìn người,” làm việc trong nhiều nhóm khác nhau và đôi khi chồng chéo nhau.
“Mặc dù việc đưa ra một con số cụ thể là khó khăn, nhưng rõ ràng là chế độ Triều Tiên đang đầu tư nguồn lực đáng kể vào những khả năng này.” Cuối cùng, việc đầu tư như vậy đã cho phép Triều Tiên trở thành một trong những nhà lãnh đạo trong lĩnh vực hack tiền điện tử, với một báo cáo của TRM Labs vào tháng 2 kết luận rằng quốc gia này chiếm 35% tổng số tiền bị đánh cắp trong năm ngoái.
Các chuyên gia cho biết tất cả các dấu hiệu hiện có đều cho thấy quốc gia này có khả năng sẽ vẫn là một yếu tố trong các vụ hack liên quan đến tiền điện tử trong một thời gian tới, đặc biệt là với khả năng của các nhân viên của họ trong việc phát triển các kỹ thuật mới.
“Các tác nhân đe dọa Triều Tiên là một lực lượng năng động và linh hoạt, liên tục thích ứng để đáp ứng các mục tiêu chiến lược và tài chính của chế độ,” Collier của Google cho biết.
Nhấn mạnh rằng các tin tặc Triều Tiên đang ngày càng sử dụng AI, Collier giải thích rằng việc sử dụng này cho phép “tăng cường sức mạnh,” điều này đã cho phép các tin tặc mở rộng quy mô các hành động của họ. “Chúng tôi không thấy bằng chứng nào cho thấy họ đang chậm lại và dự đoán rằng sự mở rộng này sẽ tiếp tục,” ông nói.
